Innledning
Microsoft kunngjør tilgjengeligheten av en ny funksjon, Extended Protection for Authentication (EPA), på Windows-plattformen. Denne funksjonen forbedrer beskyttelsen og håndteringen av legitimasjon ved godkjenning av nettverkstilkoblinger ved hjelp av integrert Windows-godkjenning (IWA).Microsoft Sikkerhetsveiledning 973811.
Oppdateringen i seg selv gir ikke direkte beskyttelse mot spesifikke angrep som videresending av legitimasjon, men gjør det mulig for programmer å melde seg på EPA. Denne veiledningen informerer utviklere og systemansvarlige om denne nye funksjonaliteten, og hvordan den kan distribueres for å beskytte godkjenningslegitimasjonen. Hvis du vil ha mer informasjon, kan du seMer informasjon
Denne sikkerhetsoppdateringen endrer SSPI (Security Support Provider Interface) for å forbedre måten Windows-godkjenning fungerer på, slik at legitimasjon ikke blir enkelt videresendt når IWA er aktivert.
Når EPA er aktivert, er godkjenningsforespørsler bundet til både service principal names (SPN) for serveren klienten prøver å koble til og til den ytre Transport Layer Security (TLS)-kanalen som IWA-godkjenningen forekommer over.Oppdateringen legger til en ny registeroppføring for å administrere Utvidet beskyttelse:
-
Angi registerverdien SuppressExtendedProtection .
Registernøkkel
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Verdi
SuppressExtendedProtection
Type
REG_DWORD
Data
0 Aktiverer beskyttelsesteknologi.
1 Utvidet beskyttelse er deaktivert. 3 Utvidet beskyttelse er deaktivert, og kanalbindinger som sendes av Kerberos, deaktiveres også, selv om programmet leverer dem.Standardverdi: 0x0
Obs! Et problem som oppstår når EPA er aktivert som standard, er beskrevet i godkjenningsfeilen fra serveremnet for ikke-Windows NTLM eller Kerberos på Microsoft-nettstedet.
-
Angi registerverdien LmCompatibilityLevel .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel til 3. Dette er en eksisterende nøkkel som aktiverer NTLMv2-godkjenning. EPA gjelder bare for NTLMv2-, Kerberos-, sammendrags- og forhandlingsgodkjenningsprotokoller og gjelder ikke for NTLMv1.
Obs! Du må starte datamaskinen på nytt etter at du har angitt registerverdiene SuppressExtendedProtection og LmCompatibilityLevel på en Windows-datamaskin.
Aktiver utvidet beskyttelse
Obs! Utvidet beskyttelse og NTLMv2 er som standard aktivert i alle støttede versjoner av Windows. Du kan bruke denne veiledningen til å bekrefte at dette er tilfellet.
Viktig! Denne inndelingen, metoden eller oppgaven inneholder trinn som forteller deg hvordan du endrer registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feil. Sørg derfor for at du følger disse trinnene nøye. Sikkerhetskopier registeret før du endrer det for ekstra beskyttelse. Deretter kan du gjenopprette registeret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
-
KB322756 Slik sikkerhetskopierer og gjenoppretter du registeret i Windows
Følg disse trinnene for å aktivere utvidet beskyttelse selv etter at du har lastet ned og installert sikkerhetsoppdateringen for plattformen:
-
Start Registerredigering. Dette gjør du ved å klikke Start, klikke Kjør, skrive regedit i Åpne-boksen og deretter klikke OK.
-
Finn og klikk deretter følgende registerundernøkkel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Kontroller at registerverdiene SuppressExtendedProtection og LmCompatibilityLevel finnes.
Hvis registerverdiene ikke finnes, følger du disse trinnene for å opprette dem:-
Når registerundernøkkelen som er oppført i trinn 2 er valgt, velger du Ny på Rediger-menyen, og deretter klikker du DWORD-verdi.
-
Skriv inn SuppressExtendedProtection, og trykk deretter ENTER.
-
Når registerundernøkkelen som er oppført i trinn 2 er valgt, velger du Ny på Rediger-menyen, og deretter klikker du DWORD-verdi.
-
Skriv inn LmCompatibilityLevel, og trykk deretter ENTER.
-
-
Klikk for å velge registerverdien SuppressExtendedProtection .
-
Klikk Endre på Rediger-menyen.
-
Skriv inn 0 i Verdidata-boksen, og klikk deretter OK.
-
Klikk for å velge registerverdien LmCompatibilityLevel .
-
Klikk Endre på Rediger-menyen.
Merk Dette trinnet endrer krav til NTLM-godkjenning. Se følgende artikkel i Microsoft knowledge base for å sikre at du er kjent med denne virkemåten.KB239869 Slik aktiverer du NTLM 2-godkjenning
-
Skriv inn 3 i verdidataboksen, og klikk deretter OK.
-
Avslutt registerredigering.
-
Hvis du gjør disse endringene på en Windows-datamaskin, må du starte datamaskinen på nytt før endringene trer i kraft.